Datenschutzerklärung
Version 1.0 · Stand 2026-04-27
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Rahmen des KI Impact Audit der HanseImpact GmbH (im Folgenden "wir", "uns" oder "HanseImpact"). Sie richtet sich an unsere Geschäftskunden sowie deren Ansprechpartner und folgt den Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie ergänzender deutscher Vorschriften.
Hinweis für das Vertragsverhältnis: Das KI Impact Audit wird ausschließlich an Unternehmer im Sinne des § 14 BGB erbracht. Personenbezogene Daten werden nur in dem Umfang verarbeitet, in dem dies für die Erbringung der Dienstleistung erforderlich ist.
1. Verantwortlicher und Kontakt
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
HanseImpact GmbH
Neuer Kamp 3
20359 Hamburg
Deutschland
Vertreten durch die Geschäftsführer Florian Warnken und Marc Thiel.
Telefon: +49 40 22 859 159
E-Mail für datenschutzrechtliche Anfragen: post@hanseimpact.de
Ein gesetzlich verpflichtender betrieblicher Datenschutzbeauftragter wurde derzeit nicht bestellt, da die Voraussetzungen des Art. 37 DSGVO sowie des § 38 BDSG nicht erfüllt sind. Datenschutzanfragen richten Sie bitte direkt an die oben genannte E-Mail-Adresse.
2. Grundsatz: Privacy by Design
Bei der Architektur unseres Dienstes haben wir uns für den Grundsatz "Privacy by Design" entschieden. Wir verzichten konsequent auf Werbe-Tracker, Analyse-Cookies von Drittanbietern oder netzwerkübergreifendes Cross-Site-Tracking und beschränken jede Verarbeitung auf das für den Vertragszweck erforderliche Mass.
Aus diesem Grund benötigen wir kein produktweites Cookie-Consent-Banner. Soweit ausnahmsweise einzelne Drittdienste mit eigenen Cookies eingebunden werden (siehe Abschnitt 6), erfolgt dies erst nach einem ausdrücklichen Klick des Nutzers ("Two-Click-Lösung").
3. Bereitstellung der Webseite und Server-Logfiles
Beim Aufruf unserer Webseite und beim Zugriff auf Cockpit-Inhalte werden technisch erforderliche Daten verarbeitet, ohne die eine Bereitstellung des Dienstes nicht möglich wäre.
| Datenkategorie | Beispiele | Zweck |
|---|---|---|
| Technische Verbindungsdaten | IP-Adresse, User-Agent, Referrer, Zeitstempel | Auslieferung der Inhalte, Fehleranalyse, Sicherheit |
| Server-Logfiles | Status-Codes, Request-Methoden, uebertragene Datenmengen | Stabilität und Schutz vor Missbrauch |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO , berechtigtes Interesse an einer sicheren, stabilen und nachvollziehbaren Bereitstellung des Dienstes.
Speicherdauer: Server-Logs werden rollierend nach 30 Tagen automatisiert gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine laengere Aufbewahrung erfordert.
Hosting: Die Anwendung wird in der Region Frankfurt am Main bei der Vercel Inc. (USA) gehostet. Mit Vercel haben wir einen Auftragsverarbeitungsvertrag mit Standardvertragsklauseln nach Art. 46 Abs. 2 DSGVO geschlossen. Vercel ist Teilnehmer des EU-US Data Privacy Frameworks.
4. Magic-Link-Auth, Sessions und Cookie-Verzicht
Für den sicheren Zugriff auf den von Ihnen erworbenen KI Impact Audit-Report nutzen wir ein passwortloses Authentifizierungsverfahren ("Magic-Link"). Dabei senden wir Ihnen über unseren E-Mail-Subprozessor einen einmaligen, kurzlebigen Anmeldelink an die im Bestellprozess hinterlegte E-Mail-Adresse.
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse | Versand des Magic-Link, Authentifizierung | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) |
| One-Time-Token (OTP) | Einmalige Anmeldung, Lebensdauer <= 10 Minuten | Art. 6 Abs. 1 lit. b DSGVO |
| Session-/JWT-Cookie | Aufrechterhaltung der angemeldeten Sitzung | Art. 6 Abs. 1 lit. b DSGVO; § 25 Abs. 2 Nr. 2 TDDDG |
Die Session-Cookies sind technisch zwingend erforderlich, um Ihnen den von Ihnen ausdrücklich gewünschten, zugangsgeschützten Bereich zur Verfügung zu stellen. Sie sind daher nach § 25 Abs. 2 Nr. 2 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) von der Einwilligungspflicht ausgenommen.
Da wir keinerlei zu Tracking-Zwecken genutzte Technologien einsetzen, benötigen wir keine Cookie-Einwilligung und verzichten daher bewusst auf ein Cookie-Consent-Banner.
Subprozessoren in dieser Verarbeitung:
- Supabase Inc. (Auth-Datenbank, EU-Region Frankfurt). Auftragsverarbeiter; SCC + EU-US Data Privacy Framework für den US-Mutterkonzern.
- Resend Inc., USA (Versand der Magic-Link-E-Mails). Auftragsverarbeiter; mit Resend wurde ein Auftragsverarbeitungsvertrag (Data Processing Addendum) mit Standardvertragsklauseln nach Art. 46 Abs. 2 DSGVO geschlossen. Resend ist Teilnehmer des EU-US Data Privacy Frameworks.
5. Stripe Zahlungsabwicklung
Für die Abwicklung des Einmalkaufs über den Stripe-Checkout übermitteln wir die folgenden Daten an die Stripe Payments Europe Limited, Irland (im Folgenden "Stripe"):
- Vor- und Nachname
- Rechnungsadresse
- E-Mail-Adresse
- ggf. Umsatzsteuer-Identifikationsnummer
- Bestelldetails und Betrag
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 257 HGB und § 147 AO für die zehnjährige Aufbewahrung steuer- und handelsrechtlich relevanter Belege.
Doppelte Rolle Stripe: Stripe agiert hinsichtlich der Vertragsabwicklung als Auftragsverarbeiter, hinsichtlich gesetzlicher Pflichten (Geldwäscheprävention, KYC, globale Betrugserkennung) jedoch als eigener Verantwortlicher.
Drittlandtransfer: Stripe verarbeitet Daten teilweise in den USA. Stripe Payments Europe Limited ist Teilnehmer des EU-US Data Privacy Frameworks. Zusätzlich greifen die Standardvertragsklauseln und das Stripe Data Transfers Addendum.
Roh-Kreditkartendaten verlassen niemals unsere Systeme; sie werden direkt von Stripe in PCI-DSS-konformer Umgebung erhoben und verarbeitet.
6. Terminbuchung Calendly
Für die Vereinbarung der im KI Impact Audit enthaltenen Gespräche (60-minütiges Interview-Gespräch vor Reporterstellung sowie 30-minütiges Debriefing-Gespräch nach Auslieferung) nutzen wir den Dienst der Calendly LLC, USA.
| Datenkategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, E-Mail, gewählter Termin-Slot | Buchung und Durchführung der Interview- und Debriefing-Gespräche | Art. 6 Abs. 1 lit. b DSGVO |
| IP-Adresse, Browser-Metadaten | Abwicklung des Buchungsdialogs durch Calendly | Art. 6 Abs. 1 lit. f DSGVO |
| Cookies des Calendly-Widgets | Funktion des Buchungswidgets | Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG |
Two-Click-Lösung: Das Calendly-Widget wird erst nach einem ausdrücklichen Klick des Nutzers geladen. Vor diesem Klick werden weder Cookies gesetzt noch Daten an Calendly übertragen.
Subprozessoren von Calendly: Calendly setzt eigene Sub-Auftragsverarbeiter ein (u.a. OpenAI, Twilio, Pendo). Eine aktuelle Liste führt Calendly im eigenen Trust Center.
Drittlandtransfer: Calendly LLC ist Teilnehmer des EU-US Data Privacy Frameworks. Zusätzlich gelten die Standardvertragsklauseln sowie das UK Addendum.
7. Recherche öffentlich verfügbarer Informationen über Ihr Unternehmen
Zur Erstellung eines unternehmens-spezifischen Reports recherchieren wir öffentlich verfügbare Informationen über Ihr Unternehmen. Hierzu zaehlen typischerweise Ihre Unternehmenswebseite, öffentliche Register, Pressemitteilungen sowie Fachartikel. Diese Recherche erfolgt automatisiert über die Anthropic Claude API mit dem Werkzeug der Web-Suche.
Erfasste personenbezogene Daten: Die Analyse zielt auf strukturelle Unternehmensdaten ab. Soweit im geschäftlichen Kontext personenbezogene Daten öffentlich gemacht wurden , insbesondere Vor- und Nachnamen, berufliche Titel und Funktionen von Geschäftsführern, Vorständen oder benannten Ansprechpartnern , werden diese mitverarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Erfüllung unserer vertraglichen Pflichten Ihnen gegenüber sowie in der Bereitstellung einer auf Ihr Unternehmen zugeschnittenen Beratungsleistung.
Informationspflicht nach Art. 14 DSGVO: Da die Daten nicht direkt bei den Betroffenen erhoben werden, informieren wir hiermit gemäß Art. 14 DSGVO über die Verarbeitung. Eine individuelle Benachrichtigung jeder einzelnen betroffenen Person ist gemäß Art. 14 Abs. 5 lit. b DSGVO mit unverhältnismäßigem Aufwand verbunden.
Datenminimierung: Wir beschränken die Recherche auf firmenrelevante Informationen und verarbeiten keine privaten Aspekte (z.B. Religion, Gesundheit, politische Ansichten).
Widerspruchsrecht: Sie haben das Recht, der Verarbeitung im Rahmen unserer berechtigten Interessen jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen (Art. 21 DSGVO). Siehe Abschnitt 11.
8. KI-gestützte Auswertung mittels Anthropic Claude
Das Kernstück unseres Dienstes bildet die Auswertung Ihrer Eingaben durch ein Large-Language-Model des Unternehmens Anthropic PBC, USA. Die Auswertung erfolgt über die kommerzielle Claude API.
Verarbeitete Daten: Antworten aus dem Reifegrad-Fragebogen, Mitschriften aus dem Interview-Call, Firmen-Stammdaten sowie die in Abschnitt 7 beschriebenen Recherche-Ergebnisse.
Datenminimierung: Wir übermitteln keine direkten Personenidentifikatoren (insbesondere nicht Ihre E-Mail-Adresse) im Prompt an Anthropic. Die Zuordnung von Verarbeitungsschritten zu Kunden erfolgt ausschließlich in unserer eigenen Datenbank.
Zero-Training-Garantie: Anthropic garantiert in den Commercial Terms vertraglich, dass die über die kommerzielle API uebermittelten Eingabe- und Ausgabedaten strikt von den Trainingsdaten getrennt bleiben. Ihre Daten werden nicht zum Training, zur Verbesserung oder zur Modifikation der KI-Modelle von Anthropic verwendet.
Drittlandtransfer: Anthropic verarbeitet Daten in den USA. Anthropic ist nicht eigenständig im EU-US Data Privacy Framework gelistet. Der Transfer wird abgesichert durch das Anthropic-Auftragsverarbeitungs-Addendum (Data Processing Addendum, wirksam seit 2026-01-01) mit Standardvertragsklauseln gemäß Modul 2 (Controller-to-Processor) der Beschluss-VO (EU) 2021/914. Wir haben für diesen Transfer ein dokumentiertes Transfer-Impact-Assessment durchgeführt und kommen zu dem Ergebnis, dass das Schutzniveau unter Berücksichtigung der vertraglichen und technischen Maßnahmen dem europäischen Standard entspricht.
Anthropic Trust Center: Eine aktuelle Liste der von Anthropic eingesetzten Sub-Auftragsverarbeiter (u.a. AWS, Google Cloud, Azure, Anthropic Ireland Limited) ist im Anthropic Trust Center öffentlich einsehbar.
9. Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO
Wir weisen gemäß Art. 13 Abs. 2 lit. f und Art. 14 Abs. 2 lit. g DSGVO ausdrücklich darauf hin, dass im Rahmen unserer Dienstleistung keine automatisierte Entscheidungsfindung im Einzelfall im Sinne des Art. 22 DSGVO stattfindet.
Der durch die KI generierte Reifegrad-Report ist ein Beratungswerkzeug, das sich an das auftraggebende Unternehmen richtet. Vor Auslieferung wird jeder Report durch einen Geschäftsführer der HanseImpact GmbH inhaltlich geprüft, redaktionell verantwortet und freigegeben. Etwaige Einstufungen, Bewertungen oder Empfehlungen entfalten gegenüber natürlichen Personen (etwa Ihren Geschäftsführern oder Mitarbeitenden) zu keinem Zeitpunkt eine rechtliche Wirkung oder eine in aehnlicher Weise erhebliche Beeinträchtigung.
10. Speicherdauer
Wir loeschen personenbezogene Daten, sobald der Verarbeitungszweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
| Datenkategorie | Aufbewahrung | Grund |
|---|---|---|
| Reports und zugrundeliegende Recherche-Daten | 90 Tage ab Bereitstellung | vertragliche Zugriffsmöglichkeit, danach automatisierte Hard-Loeschung |
| Authentifizierungs-Tokens (Magic-Link, OTP) | 10 Minuten Lebensdauer | Authentifizierung |
| Sessions / JWT | rollierend, max. 14 Tage | Session-Management |
| Server- und Anwendungs-Logs | 30 bis 90 Tage rollierend | IT-Sicherheit, Fehleranalyse |
| Buchhaltungs- und Vertragsdaten | bis zu 10 Jahre | § 257 HGB, § 147 AO |
| Audit-Log (rechnungs- und nachweisrelevant) | 7 Jahre, pseudonymisiert | gesetzliche Nachweispflichten |
Nach Ablauf dieser Fristen werden Reports und zugehörige Recherche-Rohdaten unwiderruflich aus unseren Systemen gelöscht. Buchhaltungs- und audit-relevante Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht oder dauerhaft anonymisiert.
11. Ihre Rechte
Als betroffene Person haben Sie nach der DSGVO insbesondere die folgenden Rechte:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die Sie betreffenden personenbezogenen Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
- Loeschung (Art. 17 DSGVO): Sie können die Loeschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter den Voraussetzungen des Art. 18 DSGVO die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Sie betreffenden Daten in einem strukturierten, gaengigen und maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern diese Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO erfolgt. Dies betrifft in unserem Geschäftsmodell insbesondere die Erfassung geschäftlicher Kontaktdaten im Rahmen der automatisierten Web-Recherche (siehe Abschnitt 7) sowie die Server-Log-Verarbeitung (siehe Abschnitt 3).
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit eine Verarbeitung auf einer Einwilligung beruht (etwa beim Calendly-Widget), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an post@hanseimpact.de.
12. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für uns ist:
Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22, 7. OG
20459 Hamburg
Telefon: +49 40 428 54 - 4040
E-Mail: mailbox@datenschutz.hamburg.de
Web: https://datenschutz-hamburg.de
Aktuelle Fassung: Version 1.0, Stand 2026-04-27. HanseImpact GmbH, Hamburg.